Η Disqus μια εταιρεία που αναπτύσσει ένα plugin για ιστοσελίδες ειδήσεων στο διαδίκτυο, δήλωσε την Παρασκευή ότι hackers κατάφεραν να υποκλέψουν περισσότερες από 17,5 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου τον Ιούλιο του 2012.
Περίπου το ένα τρίτο αυτών των λογαριασμών περιείχαν κωδικούς πρόσβασης, salted και hashed χρησιμοποιώντας τον αδύναμο αλγόριθμο SHA-1, ο οποίος έχει καταργηθεί τα τελευταία χρόνια για την χρήση ισχυρότερων scramblers κωδικών πρόσβασης.
Τα δεδομένα περιείχαν επίσης ημερομηνίες εγγραφής και την ημερομηνία της τελευταίας σύνδεσης.Disqus
Ορισμένες από τις εκτεθειμένες πληροφορίες χρηστών χρονολογούνται από το 2007.
Πολλούς από τους λογαριασμούς δεν έχουν κωδικούς πρόσβασης επειδή έχουν εγγραφεί στο εργαλείο σχολιασμού χρησιμοποιώντας κάποια υπηρεσία τρίτου μέρους, όπως το Facebook ή την Google.
Η κλοπή ανακαλύφθηκε αυτή την εβδομάδα μετά την αποστολή της βάσης δεδομένων στον Troy Hunt, ο οποίος διαχειρίζεται την υπηρεσία γνωστοποίησης παραβίασης δεδομένων Have I Been Pwned. Ο Hunt αμέσως μετά ενημέρωσε την Disqus για την παραβίαση.
Η εταιρεία ανέφερε σε μια δημοσίευση στο blog της, που δημοσιεύτηκε σε λιγότερο από μία ημέρα μετά την αποκάλυψη του Hunt, ότι παρόλο που δεν υπήρχαν ενδείξεις μη εξουσιοδοτημένες συνδέσεις, οι χρήστες που επηρεάζονται θα ενημερωθούν προσωπικά μέσω ηλεκτρονικού ταχυδρομείου για την παραβίαση.
Οι χρήστες των οποίων οι κωδικοί πρόσβασης είχαν εκτεθεί θα λάβουν κωδικούς επαναφοράς.
Η εταιρεία προειδοποίησε τους χρήστες που χρησιμοποίησαν τον κωδικό του Disqus σε άλλους ιστότοπους να αλλάξουν τον κωδικό πρόσβασης σε αυτούς τους λογαριασμούς.
“Από το 2012, ως μέρος των κανονικών βελτιώσεων ασφάλειας, έχουμε πραγματοποιήσει σημαντικές αναβαθμίσεις στη βάση δεδομένων μας και στην κρυπτογράφηση, προκειμένου να αποφευχθούν παραβιάσεις και να αυξηθεί η ασφάλεια των κωδικών πρόσβασης”, δήλωσε ο Jason Yan, επικεφαλής της ομάδας.
Ο Yan είπε ότι η εταιρεία άλλαξε τον την κρυπτογράφηση των κωδικών πρόσβασης σε bcrypt, που είναι ένας πολύ ισχυρό κωδικοποιητής και ότι στα τέλη του 2012 και έκανε πολλές άλλες αναβαθμίσεις για να βελτιώσει την ασφάλεια.
“Η ομάδα μας εξακολουθεί να διερευνά ενεργά αυτό το ζήτημα, αλλά θέλαμε να μοιραστούμε όλες τις σχετικές πληροφορίες το συντομότερο δυνατό”, δήλωσε ο Yan.
Επειδή και το SecNews χρησιμοποιεί σήμερα την υπηρεσία, θα πρέπει να αναφέρουμε ότι το 2012 δεν υπήρχε στο site.
Ωστόσο, όσοι από εσάς κάποια στιγμή δημιουργήσατε έναν λογαριασμό στην Disqus, αλλάξτε άμεσα κωδικό πρόσβασης, και μην περιμένετε να σας ενημερώσει η εταιρεία.
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου